• <input id="mmiwo"><label id="mmiwo"></label></input>
  • <code id="mmiwo"><label id="mmiwo"></label></code>
  • 安防峰會
    您正在使用IE低版瀏覽器,為了您的雷鋒網賬號安全和更好的產品體驗,強烈建議使用更快更安全的瀏覽器
    網絡安全 正文
    發私信給靈火K
    發送

    0

    無解密工具,新型勒索病毒Clop輕松“騙過”安全軟件

    本文作者:靈火K 2019-02-25 17:35
    導語:一旦受害,無計可施

    雷鋒網(公眾號:雷鋒網)消息,2月25日騰訊御見威脅情報中心發文稱檢測到新型勒索病毒Clop在國內開始傳播。值得注意的是,Clop受害企業的大量數據被加密后,暫無有效的解密工具。

    據稱,數字簽名濫用、冒用情況出現最多的是在惡意軟件或者竊密木馬程序當中,而Clop是少見的攜帶了有效的數字簽名的勒索病毒。因此,Clop在病毒攔截的情況下更容易獲得安全軟件的信任,就這樣“瞞天過海”地進行感染,進而造成無法逆轉的局勢。

    無解密工具,新型勒索病毒Clop輕松“騙過”安全軟件

    ▲病毒結束后臺應用進程的代碼

    雷鋒網得知,Clop勒索病毒首先會結束電腦中運行的文件進程,增加加密過程的成功率。然后會嘗試過濾白名單后綴為.dll、.DLL、.exe、.EXE、.sys、.SYS、.OCX、.ocx、.LNK、.lnk、.Clop的運行文件并加密本地磁盤和網絡共享目錄文件。加密過程中Clop勒索病毒會按照文件內容的大小分為兩種加密方案:

    1、文件大于0x2dc6c0字節(約2.8-2.9MB):采用文件映射方式改寫文件數據,且加密數據大小固定為0x2DC6C0字節(約2.8-2.9MB);

    2、其他情況:先讀取文件實際大小,加密文件數據,寫入新文件加密內容,刪除原文件;

    無解密工具,新型勒索病毒Clop輕松“騙過”安全軟件

    ▲公鑰信息如圖,該密鑰用于文件加密

    加密完成后,其會對每一個文件生成內置的RSA公鑰(文件加密算法非RSA,但用該密鑰)加密文件密鑰信息后追加到文件末尾,被加密的文件暫無法解密。

    勒索說明文檔ClopReadMe.txt通過查找資源SIXSIX解密后創建。解密方式為硬編碼數據模運算后加循環異或。留下名為ClopReadMe.txt的勒索說明文檔,恐嚇受害者,要求在兩周內聯系病毒作者繳納贖金,否則將無法恢復文件。

    面對此次的Clop勒索病毒攻擊,騰訊御見威脅情報中心給出的安全建議如下:

    企業用戶:

    1、盡量關閉不必要的端口,如:445、135,139等,對3389,5900等端口可進行白名單配置,只允許白名單內的IP連接登陸;

    2、盡量關閉不必要的文件共享,如有需要,請使用ACL和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問;

    3、采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務器密碼使用高強度且無規律密碼,并且強制要求每個服務器使用不同密碼管理

    4、對沒有互聯需求的服務器/工作站內部訪問設置相應控制,避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器;

    5、對重要文件和數據(數據庫等數據)進行定期非本地備份;

    6、在終端/服務器部署專業安全防護軟件,Web服務器可考慮部署在騰訊云等具備專業安全防護能力的云服務;

    7、時常安裝、升級相關的終端安全管理系統,即使修復漏洞;

    個人用戶:

    1、安裝安全設備管理軟件,攔截Clop勒索病毒攻擊;

    2、利用磁盤冗余空間備份文檔,萬一某些原因導致勒索病毒破壞,還有機會恢復文件(需要確認軟件是否具備該功能);

    來源:騰訊御見威脅情報中心

    雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知

    分享:
    相關文章

    文章點評:

    表情
    最新文章
    請填寫申請人資料
    姓名
    電話
    郵箱
    微信號
    作品鏈接
    個人簡介
    為了您的賬戶安全,請驗證郵箱
    您的郵箱還未驗證,完成可獲20積分喲!
    請驗證您的郵箱
    立即驗證
    完善賬號信息
    您的賬號已經綁定,現在您可以設置密碼以方便用郵箱登錄
    立即設置 以后再說
    11选5下期推算方法